Осенью прошлого года компании IBS и Cable & Wireless объявили о запуске проекта Data Fort (см. CRN/RE № 19/2001), в рамках которого клиентам предоставляют такие услуги, как аренда приложений, аренда инфраструктуры и корпоративный ИТ-аутсорсинг.

Чаще всего заказчиков волнует, как обеспечена информационная безопасность (ИБ) при оказании подобных услуг? Этой проблеме в Data Fort уделяют большое внимание — в проекте разработана четкая политика, регламентирующая как применение технических средств, так и осуществление организационных мероприятий.

«Нам не пришлось создавать политику на ровном месте — рассказывает Дмитрий Поляков, технический директор Data Fort. — Мы изучили несколько отраслевых стандартов по ИБ, а наши сотрудники прошли обучение на специальных курсах. И сегодня по уровню организации ИБ все службы Data Fort вполне соответствуют требованиям первого отдела какого-нибудь закрытого НИИ».

Защиту информации в Data Fort осуществляют по нескольким направлениям. Сам Центр обработки и хранения данных расположен на охраняемой территории, кроме того, он поделен на различные зоны, в каждую из которых имеет доступ ограниченный круг лиц. Но это — «физический периметр» защиты. Действия службы безопасности в данной области понятны, просты и потому эффективны. Сложнее предотвратить несанкционированный доступ к данным со стороны персонала Центра и дать уверенность клиентам в том, что их информация надежно защищена.

«Все сотрудники Центра работают только на своих объектах и со своими системами, — продолжает Дмитрий Поляков. — Периодически осуществляется смена паролей — это часть общей концепции безопасности. За ее соблюдением следят менеджеры по безопасности и начальник службы эксплуатации. Важная особенность нашей системы ИБ заключается в том, что нет ни одного человека, который имел бы доступ ко всем информационным ресурсам Data Fort».

Разумеется, при желании ведущий специалист Data Fort, отвечающий за работу определенного сервера, или системный администратор могут получить доступ к данным клиентов, но система устроена таким образом, что любые действия персонала фиксируются, так что «влезть» в БД и при этом не оставить следов невозможно.

Вообще, подозревать инженеров Центра хранения данных в излишнем любопытстве — примерно то же самое, что подозревать сотрудников банка в том, что они могут воспользоваться вашими деньгами. «Наш бизнес состоит в том, чтобы хранить и обрабатывать данные клиентов, — подчеркнул Дмитрий Поляков. — Мы прекрасно понимаем, что, однажды скомпрометировав себя, «вылетим» из этого бизнеса. Да и нет таких данных, ради которых можно было бы пуститься во все тяжкие».

Так что клиенты могут быть спокойны — вероятность утечки информации из Центра обработки данных ничтожно мала. К тому же, как свидетельствует мировой опыт, информацию похищают не из центров данных, а непосредственно из офисов компаний-клиентов. Там, чего греха таить, и системные администраторы менее квалифицированные, и персонал не такой дисциплинированный. Одним словом, лазеек столько, что вербовать никого не потребуется.

Однако не следует думать, что на этом заботы центров по защите данных заканчиваются. Центры — вожделенная мишень для хакеров. Правда, при грамотной политике и наличии опытных специалистов неприятных сюрпризов можно не опасаться. В Data Fort, например, серверы клиентов ИТ-аутсорсинга, на которых хранятся корпоративная информация и приложения, физически изолированы от Интернета. С офисом заказчика такие серверы связаны с помощью специальных линий передачи данных. Те серверы Центра, которые должны иметь выход в Интернет, защищены программными и аппаратными средствами. Кроме этого, специалисты Data Fort круглосуточно осуществляют мониторинг систем с целью выявления опасных атак. «Наш Центр постоянно подвергается атакам из Интернета, — говорит Дмитрий Поляков. — Но за год работы не было случаев взлома или проникновения вирусов. Примитивные атаки идут постоянно. Раз или два в неделю мы сталкиваемся с изощренными, профессиональными попытками взлома. Особо настырных и опасных хакеров наши специалисты вычисляют и направляют в адрес, откуда идут атаки, уведомление с просьбой разобраться и принять меры. Однажды нам стало известно, что «хулиганят» системные администраторы одной фирмы. Их потом уволили».

В нашей стране существует еще одна проблема организационно-правового характера, которая может осложнить работу Центра данных и создать неудобства для клиентов. Речь идет об оперативно-розыскных мероприятиях правоохранительных органов. Взаимоотношения провайдеров услуг с силовыми ведомствами — вопрос больной и юридически не проработанный. Что делать, если сотрудники того же Управления «К» пришли с ордером на выемку информации из сервера клиента? Как поступить, если милиционеры унесут несколько серверов или опечатают весь Центр?

По словам Сергея Меркулова, первого заместителя генерального директора компании IBS, Data Fort как законопослушный провайдер не будет участвовать в конфликтах компетентных органов с клиентами. При наличии законного предписания о выемке чего-либо или действиях в рамках СОРМ сотрудники Data Fort подчинятся и не станут препятствовать властям исполнять закон. Но в то же время компания не обязана опережать в своем рвении представителей закона, кроме случаев, когда речь идет о защите своего бизнеса или ресурсов клиентов от компьютерных преступлений (взломы, вторжения, спам и т. п.).

«В случае спорных или неоднозначных ситуаций мы готовы встать на сторону клиента, — заявил Сергей Меркулов. — Например, мы не будем исполнять предписание скопировать данные нашего заказчика, поскольку это требование относится непосредственно к заказчику. Но мы не сможем останавливать пристава с представителем Госсвязьнадзора, опечатывающих сервер или даже изымающих его в полном соответствии с ордером. Естественно, владельцем данных остается наш клиент, и мы готовы предоставить ему любые возможности по оперативному управлению доступом к ним».


Версия для печати (без изображений)